{"id":1711,"date":"2023-09-13T17:41:33","date_gmt":"2023-09-13T17:41:33","guid":{"rendered":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/?page_id=1711"},"modified":"2024-03-14T14:55:35","modified_gmt":"2024-03-14T14:55:35","slug":"securite-de-la-plateforme-du-snc","status":"publish","type":"page","link":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/securite-de-la-plateforme-du-snc\/","title":{"rendered":"S\u00e9curit\u00e9 de la plateforme du SNC"},"content":{"rendered":"\n<p><em>Derni\u00e8re mise \u00e0 jour&nbsp;: 12-07-2023<\/em><\/p>\n\n\n\n<p>Aper\u00e7u des pratiques du SNC en mati\u00e8re de s\u00e9curit\u00e9 et de conformit\u00e9 pour nos ressources et produits en interne.&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"#h-sommaire\">Sommaire<\/a><\/li>\n\n\n\n<li><a href=\"#h-respect-des-politiques\">Respect des politiques<\/a><\/li>\n\n\n\n<li><a href=\"#h-gestion-des-ressources\">Gestion des ressources<\/a><\/li>\n\n\n\n<li><a href=\"#h-infrastructure-sur-aws\">Infrastructure sur AWS<\/a><\/li>\n\n\n\n<li><a href=\"#h-conformit\u00e9\">Conformit\u00e9<\/a><\/li>\n\n\n\n<li><a href=\"#h-tests-de-p\u00e9n\u00e9tration\">Tests de p\u00e9n\u00e9tration<\/a><\/li>\n\n\n\n<li><a href=\"#h-gestion-d'incidents\">Gestion d\u2019incidents<\/a><\/li>\n\n\n\n<li><a href=\"#h-meilleures-pratiques-de-l'industrie\">Meilleures pratiques de l\u2019industrie<\/a><\/li>\n\n\n\n<li><a href=\"#h-culture\">Culture<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-sommaire\"><strong>Sommaire<\/strong><\/h2>\n\n\n\n<p>Au SNC, la s\u00e9curit\u00e9 est au c\u0153ur de nos pr\u00e9occupations. Le SNC r\u00e9side au<a href=\"https:\/\/www.canada.ca\/fr\/secretariat-conseil-tresor\/organisation\/organisation.html#org5\"> bureau du Dirigeant principal de l\u2019information<\/a> du Secr\u00e9tariat du Conseil du Tr\u00e9sor. Toutes nos op\u00e9rations, y compris nos<a href=\"https:\/\/numerique.canada.ca\/suite-de-produits\/\"> produits de plateforme<\/a>, respectent les politiques et directives du gouvernement du Canada et des meilleures pratiques de l\u2019industrie en mati\u00e8re de s\u00e9curit\u00e9. Nous travaillons \u00e0 la crois\u00e9e du d\u00e9veloppement traditionnel de la TI au gouvernement et des nouvelles m\u00e9thodes et pratiques, et fournissons des produits s\u00e9curis\u00e9s de haute qualit\u00e9 en lesquels les minist\u00e8res et organismes gouvernementaux et le public peuvent avoir confiance. La technologie n\u2019est pas notre seule pr\u00e9occupation&nbsp;: nous pla\u00e7ons l\u2019\u00eatre humain au c\u0153ur de la s\u00e9curit\u00e9.<\/p>\n\n\n\n<p>Ce document donne un aper\u00e7u des pratiques du SNC en mati\u00e8re de s\u00e9curit\u00e9, notamment&nbsp;:&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le respect des politiques et directives f\u00e9d\u00e9rales;&nbsp;<\/li>\n\n\n\n<li>La gestion du mat\u00e9riel et des logiciels du SNC;<\/li>\n\n\n\n<li>Notre infrastructure sur AWS;&nbsp;<\/li>\n\n\n\n<li>Le respect de ITSG-33 et notre processus d\u2019autorisation d\u2019exploitation (AE);<\/li>\n\n\n\n<li>Notre engagement sur la conduite de tests de p\u00e9n\u00e9tration;<\/li>\n\n\n\n<li>Notre processus de gestion d\u2019incidents;<\/li>\n\n\n\n<li>Les meilleures pratiques de l\u2019industrie surpassant les exigences minimales;<\/li>\n\n\n\n<li>La mani\u00e8re dont nous promouvons une culture organisationnelle en mati\u00e8re de s\u00e9curit\u00e9.<\/li>\n<\/ul>\n\n\n\n<p>Pour plus de renseignements sur la s\u00e9curit\u00e9 d\u2019un produit en particulier et les pratiques en mati\u00e8re de confidentialit\u00e9, veuillez consulter la documentation relative au produit. Pour toute question relative \u00e0 la s\u00e9curit\u00e9, veuillez envoyer un courriel \u00e0 l\u2019adresse security+securite@cds-snc.ca.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-respect-des-politiques\"><strong>Respect des politiques<\/strong><\/h2>\n\n\n\n<p>La plateforme du SNC respecte les politiques et directives f\u00e9d\u00e9rales, ainsi que les lignes directrices en mati\u00e8re de s\u00e9curit\u00e9. Cela se manifeste par&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.tbs-sct.canada.ca\/pol\/doc-fra.aspx?id=16578\">La politique sur la s\u00e9curit\u00e9 du gouvernement;<\/a><\/li>\n\n\n\n<li>La <a href=\"https:\/\/www.tbs-sct.canada.ca\/pol\/doc-fra.aspx?id=32611\">directive sur la gestion de la s\u00e9curit\u00e9<\/a>;&nbsp;<\/li>\n\n\n\n<li>Politique d\u2019EDSC en mati\u00e8re de cybers\u00e9curit\u00e9 et de s\u00e9curit\u00e9 des TI;<\/li>\n\n\n\n<li>L\u2019<a href=\"https:\/\/www.cyber.gc.ca\/fr\/orientation\/la-gestion-des-risques-lies-la-securite-des-ti-une-methode-axee-sur-le-cycle-de-vie\">ITSG-33<\/a>;&nbsp;<\/li>\n\n\n\n<li>La <a href=\"https:\/\/laws-lois.justice.gc.ca\/fra\/lois\/p-21\/index.html\"><em>Loi sur la protection des renseignements personnels<\/em><\/a> et la<a href=\"https:\/\/www.tbs-sct.canada.ca\/pol\/doc-fra.aspx?id=18309\"> directive sur les pratiques relatives \u00e0 la protection de la vie priv\u00e9e<\/a>;<\/li>\n\n\n\n<li>Le <a href=\"https:\/\/www.canada.ca\/fr\/gouvernement\/systeme\/gouvernement-numerique\/securite-confidentialite-ligne\/gestion-securite-identite\/plan-gestion-evenements-cybersecurite-gouvernement-canada.html\">Plan de gestion des \u00e9v\u00e9nements de cybers\u00e9curit\u00e9 du gouvernement du Canada<\/a> (PGEC GC).<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-gestion-des-ressources-nbsp\"><strong>Gestion des ressources&nbsp; <\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-comment-gerons-nous-nos-ressources-et-nos-donnees\"><strong>Comment g\u00e9rons-nous nos ressources et nos donn\u00e9es?<\/strong><\/h3>\n\n\n\n<p>Nos ordinateurs et t\u00e9l\u00e9phones nous sont fournis par le SCT, qui s\u2019occupe \u00e9galement de sa gestion. Nous nous engageons \u00e0 g\u00e9rer les ressources de notre mat\u00e9riel et de nos logiciels qui ne sont pas g\u00e9r\u00e9s par le SCT afin de respecter les exigences relatives \u00e0 la s\u00e9curit\u00e9. En plus de nos appareils du SCT, nous utilisons plusieurs mod\u00e8les de MacBook d\u2019Apple pour le d\u00e9veloppement et le travail organisationnels. Pour g\u00e9rer ces ressources, nous employons les outils suivants&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Int\u00e9gration Jamf Pro&nbsp;: <\/strong>permet l\u2019importation et la synchronisation automatiques de tout le mat\u00e9riel (appareils MacBook d\u2019Apple) vers AssetSonar, un logiciel que nous utilisons \u00e9galement pour suivre les autres p\u00e9riph\u00e9riques (moniteurs, stations d\u2019accueil, etc.) Jamf Pro et la gestion des appareils mobiles d\u00e9tectent tous les logiciels install\u00e9s localement sur les appareils et les t\u00e9l\u00e9versements dans la base de donn\u00e9es d\u2019AssetSonar.&nbsp;<\/li>\n\n\n\n<li><strong>AssetSonar&nbsp;: <\/strong>cette ressource est un outil de d\u00e9couverte du mat\u00e9riel et des logiciels. Bien qu\u2019AssetSonar ne peut pas \u00eatre int\u00e9gr\u00e9 \u00e0 Sentinel, ce logiciel peut \u00eatre int\u00e9gr\u00e9 \u00e0 Jamf Prof et \u00e0 Google Workspace.<\/li>\n\n\n\n<li><strong>Informations de s\u00e9curit\u00e9 et gestion d\u2019\u00e9v\u00e9nements (SIEM)&nbsp;: <\/strong>un syst\u00e8me de gestion de la s\u00e9curit\u00e9 qui recueille et analyse les journaux d\u2019activit\u00e9 de sources diverses, comme les dispositifs de r\u00e9seau, les serveurs et les applications. Ce syst\u00e8me est une mani\u00e8re de centraliser l\u2019information afin d\u2019identifier des menaces, envoyer des alertes et des rapports et fournir des automatisations pour r\u00e9pondre rapidement aux incidents.\n<ul class=\"wp-block-list\">\n<li><strong>Sentinel:<\/strong> un outil qui recueille les donn\u00e9es \u00e0 l\u2019\u00e9chelle du nuage de l\u2019ensemble des utilisateur\u00b7rice\u00b7s, appareils, applications et infrastructure dans plusieurs nuages.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Suite de travail Google Workspace&nbsp;:<\/strong> cette suite est utilis\u00e9e pour r\u00e9unir tous les produits SaaS du nuage connect\u00e9s avec une adresse @<a href=\"https:\/\/numerique.canada.ca\/\">cds-snc<\/a>.<a href=\"https:\/\/numerique.canada.ca\/\">ca<\/a>.<\/li>\n\n\n\n<li><strong>Gestionnaire de mots de passe&nbsp;: <\/strong>Le personnel du SNC utilise un gestionnaire de mots de passe chiffr\u00e9 pour stocker leurs renseignements d\u2019identification en toute s\u00e9curit\u00e9, ce qui leur permet d\u2019utiliser un mot de passe fort et unique pour chaque compte. Le gestionnaire de mots de passe est \u00e9galement s\u00e9curis\u00e9 physiquement gr\u00e2ce \u00e0 une Yubikey pour l\u2019authentification \u00e0 2&nbsp;facteurs.&nbsp;<\/li>\n\n\n\n<li><strong>Authentification \u00e0 2&nbsp;facteurs&nbsp;:<\/strong> Nous utilisons une protection suppl\u00e9mentaire qui va au-del\u00e0 du nom d\u2019utilisateur et du mot de passe afin de s\u00e9curiser et d\u2019authentifier les comptes d\u2019utilisateur du SNC (p. ex.&nbsp;: Google, AWS, etc.)&nbsp;<\/li>\n\n\n\n<li><strong>Yubikey&nbsp;:<\/strong> Chaque membre du personnel du SNC poss\u00e8de une Yubikey (usb-c) physique qui authentifie le mat\u00e9riel.&nbsp;<\/li>\n\n\n\n<li><strong>Outils du soutien technique&nbsp;:<\/strong> HappyFox est utilis\u00e9 pour notre syst\u00e8me de gestion de tickets afin de traiter les demandes du personnel portant sur les ressources. Cet outil permet de conserver les connaissances organisationnelles.<\/li>\n\n\n\n<li><strong>Gestion centralis\u00e9e du code&nbsp;: <\/strong>&nbsp;Nous utilisons GitHub pour g\u00e9rer les versions et conserver des copies centralis\u00e9es de notre code. Ces copies sont sauvegard\u00e9es dans AWS en cas de panne.&nbsp;<\/li>\n\n\n\n<li><strong>Gestion de la cha\u00eene d\u2019approvisionnement&nbsp;:<\/strong> Nous g\u00e9rons nos logiciels en tant que service (SaaS) \u00e0 l\u2019aide d\u2019un processus de gestion des ressources. Nous travaillons actuellement sur une application sur mesure pour am\u00e9liorer ce processus.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-infrastructure-sur-aws\"><strong>Infrastructure sur AWS<\/strong><\/h2>\n\n\n\n<p>Le SNC utilise l\u2019infrastructure Amazon Web Services (AWS). D\u2019apr\u00e8s la <a href=\"https:\/\/www.tbs-sct.canada.ca\/pol\/doc-fra.aspx?id=32601\">Directive sur les services et le num\u00e9rique<\/a>, les donn\u00e9es f\u00e9d\u00e9rales (jusqu\u2019au niveau Prot\u00e9g\u00e9 B) peuvent \u00eatre conserv\u00e9es \u00e0 l\u2019ext\u00e9rieur du Canada \u00e0 condition que les possibilit\u00e9s de conservation au Canada aient \u00e9t\u00e9 pr\u00e9alablement \u00e9valu\u00e9es. La r\u00e9sidence des donn\u00e9es relatives aux produits du SNC (donn\u00e9es au repos) demeure au Canada.<\/p>\n\n\n\n<p>Ces produits sont munis de mesures de s\u00e9curit\u00e9 con\u00e7ues par Services partag\u00e9s Canada (SPC) pour cr\u00e9er un environnement \u00e0 int\u00e9grit\u00e9 moyenne et disponibilit\u00e9 moyenne (PBMM).<\/p>\n\n\n\n<p>Certains services d\u2019AWS que nous utilisons sont offerts au niveau international (p. ex.&nbsp;: gestion des noms d\u2019utilisateur et des acc\u00e8s), ce qui signifie que leurs serveurs se trouvent \u00e0 l\u2019ext\u00e9rieur du Canada. Toutefois, cette situation n\u2019affecte que le personnel du SNC. La client\u00e8le gouvernementale et les membres du public utilisant nos produits ne sont pas touch\u00e9s par cela. Nous suivons le principe du droit d\u2019acc\u00e8s minimal et restreignons l\u2019acc\u00e8s \u00e0 nos infrastructures sur AWS.&nbsp;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-conformite\"><strong>Conformit\u00e9<\/strong><\/h2>\n\n\n\n<p>Chaque produit du SNC applique le processus d\u2019autorisation d\u2019exploitation (AE) du gouvernement du Canada&nbsp;: il s\u2019agit d\u2019une d\u00e9cision officielle de la direction donn\u00e9e par un\u00b7e haut\u00b7e fonctionnaire de l\u2019organisme pour autoriser l\u2019exploitation d\u2019un syst\u00e8me et en accepter explicitement les risques sur la base de la mise en \u0153uvre d\u2019un ensemble convenu de contr\u00f4les de s\u00e9curit\u00e9. Nous menons \u00e9galement un processus d\u2019autorisation d\u2019exploitation (AE) provisoire lorsque les produits sont en PMV ou en d\u00e9veloppement.&nbsp; Le processus d\u2019AE ne se termine pas apr\u00e8s l\u2019approbation du ou de la gestionnaire&nbsp;: c\u2019est un processus continu que nous surveillons en permanence.<\/p>\n\n\n\n<p>Les cadres de conformit\u00e9 en mati\u00e8re de s\u00e9curit\u00e9 sont utilis\u00e9s pour aider les minist\u00e8res gouvernementaux \u00e0 s\u2019assurer que les niveaux de s\u00e9curit\u00e9 sont ad\u00e9quats d\u00e8s le d\u00e9but. Ces cadres soutiennent ainsi le processus d\u2019obtention et de maintien d\u2019un AE. Nous respectons les directives du ITSG-33 du Centre canadien pour la cybers\u00e9curit\u00e9 en s\u00e9lectionnant les contr\u00f4les pertinents qui s\u2019appliquent \u00e0 chaque produit que nous cr\u00e9ons. Les produits du SNC sont tous bas\u00e9s dans le nuage. Cela signifie que nous poss\u00e9dons moins de consid\u00e9rations relatives au mat\u00e9riel physique, car nous ne d\u00e9pendons pas d\u2019une installation ou d\u2019un service d\u2019infonuagique. Par cons\u00e9quent, un profil Prot\u00e9g\u00e9 B, int\u00e9grit\u00e9 moyenne, disponibilit\u00e9 moyenne (PBMM) voit son nombre de contr\u00f4les r\u00e9duit \u00e0 90. Nous travaillons \u00e0 l\u2019\u00e9laboration d\u2019un processus simplifi\u00e9 qui choisira les contr\u00f4les tri\u00e9s par type (p. ex.&nbsp;: \u00e0 l\u2019\u00e9chelle de l\u2019organisme vs sur le produit en particulier) et pr\u00e9cisera la mani\u00e8re d\u2019y r\u00e9pondre (voir l\u2019<a href=\"https:\/\/esdc-devx.github.io\/itsg33-yaml-explorer\/?lang=fr\"> ITSG-33 Yaml Explorer<\/a> d\u2019EDSC pour un exemple sur la mani\u00e8re dont les autres minist\u00e8res r\u00e9alisent cela).<\/p>\n\n\n\n<p>De plus, comme deuxi\u00e8me ligne de d\u00e9fense, tous les produits f\u00e9d\u00e9raux bas\u00e9s sur le nuage participent au programme de capteur d\u2019informatique en nuage du Centre canadien pour la cybers\u00e9curit\u00e9 (CCC). Nous envoyons notre pare-feu et nos journaux d\u2019acc\u00e8s pour rejoindre un r\u00e9seau qui surveille toutes les op\u00e9rations infonuagiques relatives \u00e0 de multiples fournisseurs, ce qui permet d\u2019aider \u00e0 d\u00e9celer les attaques distribu\u00e9es ainsi qu\u2019\u00e0 pr\u00e9venir des attaques similaires sur le gouvernement du Canada.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-tests-de-penetration\"><strong>Tests de p\u00e9n\u00e9tration<\/strong><\/h2>\n\n\n\n<p>Le SNC s\u2019engage \u00e0 respecter un rythme de tests de p\u00e9n\u00e9tration en interne et \u00e0 l\u2019externe. Le test de p\u00e9n\u00e9tration est un exercice de s\u00e9curit\u00e9 lors duquel les expert\u00b7e\u00b7s en cybers\u00e9curit\u00e9 essaient de trouver et d\u2019exploiter des vuln\u00e9rabilit\u00e9s. Ce test effectu\u00e9 au sein du gouvernement du Canada satisfait certains contr\u00f4les de s\u00e9curit\u00e9 d\u2019ITSG-33, en plus de respecter l\u2019<a href=\"https:\/\/www.canada.ca\/fr\/gouvernement\/systeme\/gouvernement-numerique\/innovations-gouvernementales-numeriques\/services-informatique-nuage\/orientation-utilisation-securisee-services-commerciaux-informatique-nuage-amops.html\">Orientation sur l\u2019utilisation s\u00e9curis\u00e9e des services commerciaux d\u2019informatique en nuage: avis de mise en \u0153uvre de la Politique sur la s\u00e9curit\u00e9<\/a> (AMOPS). Le SNC utilise un<a href=\"https:\/\/numerique.canada.ca\/transparence\/avis-de-securite\/\"> avis de s\u00e9curit\u00e9<\/a> et un outil de signalement des vuln\u00e9rabilit\u00e9s pour ces produits. Le SNC dispose \u00e9galement d\u2019une \u00e9quipe d\u00e9di\u00e9e \u00e0 la cybers\u00e9curit\u00e9. Celle-ci est responsable de l\u2019\u00e9valuation et du tri de toutes les vuln\u00e9rabilit\u00e9s signal\u00e9es. De plus, des personnes soucieuses de la s\u00e9curit\u00e9 travaillant aussi au SNC soutiennent l\u2019\u00e9quipe de mani\u00e8re indirecte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-gestion-d-incidents\"><strong>Gestion d\u2019incidents<\/strong><\/h2>\n\n\n\n<p>Lorsqu\u2019un incident survient, qu\u2019il s\u2019agisse d\u2019une faille de s\u00e9curit\u00e9, d\u2019une panne ou d\u2019une fonction d\u00e9fectueuse, les membres de l\u2019\u00e9quipe doivent r\u00e9agir imm\u00e9diatement et restaurer le service. Ce processus s\u2019appelle la gestion d\u2019incidents. Le SNC poss\u00e8de une culture de r\u00e9ponse aux incidents \u00e0 l\u2019\u00e9chelle de son organisme. Des exercices de ce processus sont r\u00e9guli\u00e8rement effectu\u00e9s pour encourager l\u2019ouverture. Cette ouverture est rendue possible gr\u00e2ce \u00e0 l\u2019utilisation d\u2019un processus r\u00e9trospectif sans reproches. Nous am\u00e9liorons les services en veillant \u00e0 ce que les \u00e9quipes prennent leurs responsabilit\u00e9s, pas en leur faisant des reproches. Il s\u2019agit d\u2019une pierre angulaire de l\u2019ouverture et de la s\u00e9curit\u00e9 psychologique.<\/p>\n\n\n\n<p>Le processus de gestion d\u2019incidents du SNC est bas\u00e9 sur le<a href=\"https:\/\/www.canada.ca\/fr\/gouvernement\/systeme\/gouvernement-numerique\/securite-confidentialite-ligne\/gestion-securite-identite\/plan-gestion-evenements-cybersecurite-gouvernement-canada.html\"> Plan de gestion des \u00e9v\u00e9nements de cybers\u00e9curit\u00e9 du gouvernement du Canada<\/a> (PGEC GC). Nous fondons notre<a href=\"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/incident-management-handbook\/\"> manuel de gestion d\u2019incidents<\/a> sur ce plan qui d\u00e9finit les parties prenantes et les actions \u00e0 effectuer pour veiller \u00e0 ce que les incidents soient trait\u00e9s de mani\u00e8re uniforme, coordonn\u00e9e et rapide dans tout l\u2019organisme. Le manuel est fr\u00e9quemment test\u00e9 et r\u00e9vis\u00e9, et des modifications y sont apport\u00e9es le cas \u00e9ch\u00e9ant. Notre intervention ne se limite pas uniquement aux incidents li\u00e9s \u00e0 la s\u00e9curit\u00e9 et \u00e0 la technologie. Nous incitons effectivement chaque intervention aux incidents au SNC \u00e0 se d\u00e9rouler ainsi, comme en identifiant les \u00e9tapes manqu\u00e9es dans les proc\u00e9dures non techniques par exemple.&nbsp;En cas de grave incident de s\u00e9curit\u00e9 ou de confidentialit\u00e9 concernant nos produits, nous en informons rapidement notre client\u00e8le. Le ou la commandant\u00b7e des interventions collabore avec le ou la responsable de la politique et de la sensibilisation en cas d\u2019incidents afin de concevoir des r\u00e9sum\u00e9s et des communications simples \u00e0 l\u2019intention des utilisateur\u00b7rice\u00b7s et des parties prenantes. De plus, nous suivons \u00e9galement les lignes directrices \u00e9tablies et les outils du SCT advenant une<a href=\"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/incident-management-handbook\/#h-privacy-breach-management\"> atteinte \u00e0 la vie priv\u00e9e<\/a> pour l\u2019\u00e9valuer et la contenir, pour en informer notre client\u00e8le et nos partenaires concern\u00e9s, ainsi que pour att\u00e9nuer la gravit\u00e9 des incidents et les pr\u00e9venir.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-meilleures-pratiques-de-l-industrie\"><strong>Meilleures pratiques de l\u2019industrie<\/strong><\/h2>\n\n\n\n<p>Au SNC, nous suivons les meilleures pratiques de l\u2019industrie en utilisant des outils et proc\u00e9d\u00e9s standards. Cela inclut notamment une formation \u00e0 la s\u00e9curit\u00e9 pour nos d\u00e9veloppeur\u00b7euse\u00b7s, la gestion des correctifs, l\u2019analyse de code et des tests.&nbsp;&nbsp;<\/p>\n\n\n\n<p>Certains processus appliqu\u00e9s au SNC incluent notamment&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/lignes-directrices-en-matiere-de-gestion-des-correctifs\/\"><strong>Lignes directrices en mati\u00e8re de gestion des correctifs<\/strong><\/a><strong> des produits du SNC&nbsp;:<\/strong> Il s\u2019agit de la premi\u00e8re \u00e9tape du<a href=\"https:\/\/www.canada.ca\/fr\/gouvernement\/systeme\/gouvernement-numerique\/securite-confidentialite-ligne\/gestion-securite-identite\/plan-gestion-evenements-cybersecurite-gouvernement-canada.html\"> PGEC GC<\/a>. L\u2019application rapide des correctifs s\u2019av\u00e8re l\u2019une des solutions les plus efficaces et \u00e9conomiques qu\u2019un organisme peut apporter pour att\u00e9nuer le risque de menaces en mati\u00e8re de cybers\u00e9curit\u00e9. La mise en place rapide des correctifs, comme les mises \u00e0 jour de s\u00e9curit\u00e9, limite l\u2019exposition aux vuln\u00e9rabilit\u00e9s logicielles.&nbsp;<\/li>\n\n\n\n<li><strong>Formation \u00e0 la s\u00e9curit\u00e9 pour d\u00e9veloppeur\u00b7euse\u00b7s&nbsp;:<\/strong> nous utilisons une plateforme pratique en situation r\u00e9elle pour former les d\u00e9veloppeur\u00b7euse\u00b7s \u00e0 reconna\u00eetre les exploits de s\u00e9curit\u00e9 dans le code et la mani\u00e8re de les limiter.<\/li>\n<\/ul>\n\n\n\n<p>Parmi les outils que nous utilisons au SNC, nous comptons&nbsp;:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Analyse automatique des sites Web&nbsp;: <\/strong>un<a href=\"https:\/\/github.com\/cds-snc\/automatic-website-scanning\"> outil<\/a> con\u00e7u par le SNC qui analyse les sites Web pour d\u00e9tecter tout probl\u00e8me de s\u00e9curit\u00e9 et d\u2019accessibilit\u00e9. Les probl\u00e8mes sont ensuite automatiquement export\u00e9s dans Azure Sentinel pour y \u00eatre visualis\u00e9s et tri\u00e9s.<\/li>\n\n\n\n<li><strong>Analyse statique&nbsp;: <\/strong>une mani\u00e8re d\u2019examiner le code sans ex\u00e9cuter le programme, comme la relecture.\n<ul class=\"wp-block-list\">\n<li><strong>Linting:<\/strong> une r\u00e9vision automatique des erreurs de programmation et de style fr\u00e9quentes.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>R\u00e9vision de code&nbsp;:<\/strong> un processus manuel lors duquel (au moins) un\u00b7e r\u00e9viseur\u00b7e\u00b7 humain\u00b7e r\u00e9vise le code et formule des suggestions avant qu\u2019il ne soit accept\u00e9.&nbsp;<\/li>\n\n\n\n<li><strong>Tests&nbsp;: <\/strong>nous incitons les \u00e9quipes \u00e0 concevoir des tests significatifs pour leur code et \u00e0 les int\u00e9grer dans leur pipeline de publication.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"h-culture\"><strong>Culture<\/strong><\/h2>\n\n\n\n<p>Au SNC, nous veillons \u00e0 maintenir en tout temps la s\u00e9curit\u00e9 de nos produits et de tout l\u2019organisme. Nous int\u00e9grons des sp\u00e9cialistes de la s\u00e9curit\u00e9 et des politiques \u00e0 notre \u00e9quipe et traitons les priorit\u00e9s et exigences li\u00e9es \u00e0 la s\u00e9curit\u00e9 comme des contraintes de conception. Nous faisons appel \u00e0 l\u2019automatisation et aux mesures de performance pour faciliter les op\u00e9rations li\u00e9es \u00e0 la s\u00e9curit\u00e9. Dans ce contexte-ci, nous offrons r\u00e9guli\u00e8rement des formations \u00e0 notre \u00e9quipe de s\u00e9curit\u00e9, \u00e0 nos d\u00e9veloppeur\u00b7euse\u00b7s et \u00e0 nos autres membres du personnel pour leur apprendre des comp\u00e9tences pertinentes ou les perfectionner.&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Derni\u00e8re mise \u00e0 jour&nbsp;: 12-07-2023 Aper\u00e7u des pratiques du SNC en mati\u00e8re de s\u00e9curit\u00e9 et de conformit\u00e9 pour nos ressources et produits en interne.&nbsp; Sommaire Au SNC, la s\u00e9curit\u00e9 est au c\u0153ur de nos pr\u00e9occupations. Le SNC r\u00e9side au bureau du Dirigeant principal de l\u2019information du Secr\u00e9tariat du Conseil du Tr\u00e9sor. Toutes nos op\u00e9rations, y\u2026 <a class=\"read-more\" href=\"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/securite-de-la-plateforme-du-snc\/\">Read more<span class=\"wb-sl\"> of S\u00e9curit\u00e9 de la plateforme du SNC<\/span><\/a><\/p>\n","protected":false},"author":79,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1711","page","type-page","status-publish","hentry"],"slug_en":"cds-platform-security","slug_fr":"securite-de-la-plateforme-du-snc","id_en":1679,"id_fr":1711,"lang":"fr","_links":{"self":[{"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/pages\/1711","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/users\/79"}],"replies":[{"embeddable":true,"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/comments?post=1711"}],"version-history":[{"count":2,"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/pages\/1711\/revisions"}],"predecessor-version":[{"id":1802,"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/pages\/1711\/revisions\/1802"}],"wp:attachment":[{"href":"https:\/\/articles.alpha.canada.ca\/cds-intranet-employee-guide\/fr\/wp-json\/wp\/v2\/media?parent=1711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}